一种在线密钥交换方法及系统与流程

本发明涉及互联网领域，尤其涉及一种在线密钥交换方法。本发明同时还涉及一种在线密钥交换系统。

背景技术：

密钥是一种参数，它是在明文转换为密文或将密文转换为明文的算法中输入的参数。密钥分为对称密钥与非对称密钥。现在的社会越来越多的使用互联网进行企业的交易行为，而为了保障交易的隐私性和身份确权，在交易中经常会用到各种加密算法，而密钥则是加解密中的必要参数，需要用户慎重保管。

然而不管是使用对称算法还是非对称算法，用户持有的私钥很难进行有效的安全更新，一些证书直接使用很长(如99年)的有效期，从而降低了相关加密过程的安全级别。

技术实现要素：

为了克服现有技术的不足，本发明的目的在于提供一种在线密钥交换方法，用以解决现有技术中密钥更换频率低，加密过程安全级别低的问题。

本发明的目的采用以下技术方案实现：

所述客户端和服务端进行初始化，分别得到交换密钥；

所述客户端和服务端进行首次交易时，交易发起者产生交易密钥；

所述交换密钥对所述交易密钥进行加密，并发给交易接收者；

所述交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密，并确认所述交易密钥合法性。

优选的，所述客户端和服务端进行初始化，分别得到交换密钥，具体包括：

所述客户端和服务端进行初始化时，ca系统产生数个零散值，分配给所述客户端和服务端；

所述客户端和服务端分别对所述数个零散值进行合成，分别得到交换密钥，并通过本地加密主密钥进行加密。

优选的，ca系统产生数个零散值，分配给所述客户端和服务端，具体包括：

ca系统产生三个零散值，每个零散值分别分配给所述客户端的三个管理人员和所述服务端的三个管理人员。

优选的，所述服务端和客户端分别对所述数个零散值进行合成具体包括：

所述客户端的三个管理人员对所述零散值输入到所述客户端中，所述客户端根据合成算法，得到交换密钥；

所述服务端的三个管理人员对所述零散值输入到所述服务端中，所述服务端根据合成算法，得到与所述客户端一致的交换密钥。

优选的，在所述交易发起者和所述交易接受者通过所述交换密钥对所述交易密钥解密，并确认所述交易密钥合法后还包括：

所述交易发起者和所述交易接收者通过交易密钥对所述交易内容进行加密，并根据规则定时更新所述交易密钥。

同时本发明还提供了一种在线密钥交换系统，包括互联网中的客户端和服务端，其中：

所述客户端和服务端均包括存储器，用于存储程序指令；

所述客户端和服务端均包括处理器，用于执行所述程序指令，以执行以下步骤：

所述客户端和服务端进行初始化，分别得到交换密钥；

所述客户端和服务端进行首次交易时，交易发起者产生交易密钥；

所述交换密钥对所述交易密钥进行加密，并发给交易接收者；

所述交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密，并确认所述交易密钥合法性。

优选的，所述客户端和服务端进行初始化，分别得到交换密钥，具体包括：

所述客户端和服务端进行初始化时，ca系统产生数个零散值，分配给所述客户端和服务端；

所述客户端和服务端分别对所述数个零散值进行合成，分别得到交换密钥，并通过本地加密主密钥进行加密。

优选的，ca系统产生数个零散值，分配给所述客户端和服务端，具体包括：

ca系统产生三个零散值，每个零散值分别分配给所述客户端的三个管理人员和所述服务端的三个管理人员。

优选的，所述服务端和客户端分别对所述数个零散值进行合成具体包括：

所述客户端的三个管理人员对所述零散值输入到所述客户端中，所述客户端根据合成算法，得到交换密钥；

所述服务端的三个管理人员对所述零散值输入到所述服务端中，所述服务端根据合成算法，得到与所述客户端一致的交换密钥。

优选的，在所述交易发起者和所述交易接受者通过所述交换密钥对所述交易密钥解密，并确认所述交易密钥合法后还包括：

所述交易发起者和所述交易接收者通过交易密钥对所述交易内容进行加密，并根据规则定时更新所述交易密钥。

相比现有技术，本发明的有益效果在于：解决现有技术中密钥更换频率低，加密过程安全级别低的问题。

附图说明

图1为本发明提出一种在线密钥交换方法的流程示意图；

图2为本发明提出一种在线密钥交换的系统结构图。

具体实施方式

下面，结合附图以及具体实施方式，对本发明做进一步描述：

如图1所示，为本申请提出的一种在线密钥交换方法的流程示意图，具体地，本申请技术方案包括如下步骤：

s101，客户端和服务端进行初始化，分别得到交换密钥。

在本发明实施例中，客户端和服务端均有本地加密主密钥，该本地加密主密钥随机生成，只保存在加密模块的保护区域内，只能用于内部计算，不能对外读取。

ca系统是指ca中心又称ca机构，即证书授权中心(certificateauthority)，或称证书授权机构，作为电子商务交易中受信任的第三方，承担公钥体系中公钥的合法性检验的责任。ca中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。ca机构的数字签名使得攻击者不能伪造和篡改证书。在set交易中，ca不仅对持卡人、商户发放证书，还要对获款的银行、网关发放证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书，因此是安全电子交易的核心环节。

在该步骤中，所述客户端和服务端进行初始化时，ca系统产生三个零散值，每个零散值分别分配给所述客户端的三个管理人员和所述服务端的三个管理人员。

客户端的三个管理人员拿到零散值后，分别把零散值输入到客户端中，客户端根据合成算法，合成得到交换密钥。

服务端的三个管理人员拿到零散值后，分别把零散值输入到服务端中，服务端根据合成算法，合成得到交换密钥。服务端和客户端通过本地加密主密钥进行加密，存储在外的是加密后密文。

客户端和服务端的交换密钥是一致的。

s102，客户端和服务端进行首次交易时，交易发起者产生交易密钥。

客户端和服务端进行第一次交易时，由交易发起方产生交易密钥。

s103,交换密钥对交易密钥进行加密，并发给交易接收者

客户端和服务端进行第一次交易时，由交易发起方产生交易密钥，然后使用交换密钥对交易密钥进行加密，先发给交易接收方。

s104，交易发起者和交易接收者通过交换密钥对交易密钥解密，并确认交易密钥合法性。

所述交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密，并确认所述交易密钥合法性。

在确认交易密钥合法性后，交易发起者和所述交易接收者通过交易密钥对所述交易内容进行加密，并根据规则定时更新所述交易密钥。比如交易双方通过一定的策略，比如经过一天、经过1万笔交易等，重新产生新的交易密钥。在本发明实施例中，实际交易密钥是动态产生的，外部攻击者难于截获。并且交易密钥短时间就进行切换，极大的提高了交易的安全级别。

在此方法中，静态的交换密钥以密文保存，即使数据库被泄漏，外部攻击者也无法获得真实的交换密钥。

在此方法中，静态的交换密钥使用方式如下：

1.交换密钥产生后是多分量，由多人保管，增强安全性。

2.交换密钥分量的合成方式是私有方式，分量在合成后无意义。

3.交换密钥通过本地加密主密钥进行加密后再保存，对外看到的是密文。

4.加密模块在进行计算时，通过本地加密主密钥将密文状态的交换密钥还原回明文状态，该过程只在加密模块中发生，无法被读取。

为达到以上技术目的，本发明还提出了一种在线密钥交换系统，如图2所示，该系统包括：

互联网中的客户端和服务端，客户端和服务端均包括存储器，用于存储程序指令；

所述客户端和服务端均包括处理器，用于执行所述程序指令，以执行以下步骤：

客户端和所述服务端进行初始化，分别得到交换密钥；

客户端和所述服务端进行首次交易时，交易发起者产生交易密钥；

交换密钥对所述交易密钥进行加密，并发给交易接收者；

交易发起者和所述交易接收者通过所述交换密钥对所述交易密钥解密，并确认所述交易密钥合法性。

其中，所述客户端和服务端进行初始化，分别得到交换密钥，具体包括：

所述客户端和服务端进行初始化时，ca系统产生数个零散值，分配给所述客户端和服务端；

所述客户端和服务端分别对所述数个零散值进行合成，分别得到交换密钥，并通过本地加密主密钥进行加密。

其中，ca系统产生数个零散值，分配给所述客户端和服务端，具体包括：

ca系统产生三个零散值，每个零散值分别分配给所述客户端的三个管理人员和所述服务端的三个管理人员。

所述服务端和客户端分别对所述数个零散值进行合成具体包括：

所述客户端的三个管理人员对所述零散值输入到所述客户端中，所述客户端根据合成算法，得到交换密钥；

所述服务端的三个管理人员对所述零散值输入到所述服务端中，所述服务端根据合成算法，得到与所述客户端一致的交换密钥。

在所述交易发起者和所述交易接受者通过所述交换密钥对所述交易密钥解密，并确认所述交易密钥合法后还包括：

所述交易发起者和所述交易接收者通过交易密钥对所述交易内容进行加密，并根据规则定时更新所述交易密钥。

对本领域的技术人员来说，可根据以上描述的技术方案以及构思，做出其它各种相应的改变以及形变，而所有的这些改变以及形变都应该属于本发明权利要求的保护范围之内。